Configurer des stratégies d’audit pour les journaux d’événements Windows
Pour améliorer les détections et collecter plus d’informations sur les actions des utilisateurs, telles que les connexions NTLM et les modifications de groupes de sécurité, Microsoft Defender pour Identity repose sur des entrées spécifiques dans les journaux des événements Windows. Une configuration correcte des paramètres de la stratégie d’audit avancée sur vos contrôleurs de domaine est cruciale pour éviter les lacunes dans les journaux d’événements et une couverture incomplète de Defender pour Identity.
Cet article décrit comment configurer les paramètres de votre stratégie d’audit avancée selon les besoins pour un capteur Defender pour Identity. Il décrit également d’autres configurations pour certains types d’événements spécifiques.
Defender pour Identity génère des problèmes d’intégrité pour chacun de ces scénarios s’ils sont détectés. Pour en savoir plus, consultez Problèmes d’intégrité de Microsoft Defender pour Identity.
Prérequis
- Avant d’exécuter les commandes PowerShell de Defender pour Identity, assurez-vous d’avoir téléchargé le module PowerShell de Defender pour Identity.
Générez un rapport des configurations actuelles via PowerShell.
Avant de commencer à créer de nouvelles stratégies d’événement et d’audit, nous vous recommandons d’exécuter la commande PowerShell suivante pour générer un rapport sur les configurations actuelles de votre domaine :
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Dans la commande précédente :
Path
spécifie le chemin d’enregistrement des rapports.Mode
spécifie si vous souhaitez utiliser le modeDomain
ouLocalMachine
. En modeDomain
, les paramètres sont collectés à partir des objets de stratégie de groupe (GPO). En modeLocalMachine
, les paramètres sont collectés à partir de la machine locale.OpenHtmlReport
ouvre le rapport HTML une fois le rapport généré.
Par exemple, pour générer un rapport et l’ouvrir dans votre navigateur par défaut, exécutez la commande suivante :
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Pour en savoir plus, consultez la Référence PowerShell DefenderForIdentity.
Conseil
Le rapport du mode Domain
inclut uniquement les configurations définies en tant que stratégies de groupe sur le domaine. Si vous avez des paramètres définis localement sur vos contrôleurs de domaine, nous vous recommandons également d’exécuter le script Test-MdiReadiness.ps1.
Configurer l’audit pour les contrôleurs de domaine
Mettez à jour vos paramètres de stratégie d’audit avancée et les configurations supplémentaires pour des événements et des types d’événements spécifiques, notamment les utilisateurs, les groupes, les ordinateurs, etc. Les configurations d’audit pour les contrôleurs de domaine sont les suivantes :
- Paramètres avancés de la stratégie d’audit
- Audit NTLM
- Audit d’objets de domaine
Pour plus d’informations, consultez faq sur l’audit de sécurité avancé.
Utilisez les procédures suivantes pour configurer l’audit sur les contrôleurs de domaine que vous utilisez avec Defender pour Identity.
Configurer les paramètres de stratégie d’audit avancée à partir de l’interface utilisateur
Cette procédure décrit comment modifier les paramètres de la stratégie d’audit avancée de votre contrôleur de domaine selon les besoins pour Defender pour Identity via l’interface utilisateur.
Problème d’intégrité associé : l’audit avancé des services d’annuaire n’est pas activé comme il se doit
Pour configurer vos paramètres de stratégie d’audit avancée :
Connectez-vous au serveur de en tant qu’Administrateur de domaine.
Ouvrez l’Éditeur de gestion des stratégies de groupe à partir de Gestionnaire de serveur> Tools>Group Policy Management.
Développez Unités d’organisation des contrôleurs de domaine, faites un clic droit sur Stratégie par défaut des contrôleurs de domaine, puis sélectionnez Modifier.
Remarque
Utilisez la stratégie par défaut des contrôleurs de domaine ou un GPO dédié pour définir ces politiques.
Dans la fenêtre qui s’ouvre, allez dans Configuration de l’ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité. Selon la politique que vous souhaitez activer, procédez comme suit :
Accédez aux stratégies d’audit avancées de configuration de la stratégie>d’audit.
Sous Stratégies d’audit, modifiez chacune des stratégies suivantes et sélectionnez Configurer les événements d’audit suivants pour les événements de réussite et d’échec .
Stratégie d’audit Sous-catégorie Identifiants d’événement déclencheur Connexion de compte Auditer la validation des informations d’identification 4776 Gestion de compte Auditer la gestion des comptes d’ordinateur* 4741, 4743 Gestion de compte Auditer la gestion des groupes de distribution* 4753, 4763 Gestion de compte Auditer la gestion des groupes de sécurité* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Gestion de compte Auditer la gestion des comptes d’utilisateur 4726 Accès DS Auditer les modifications du service d’annuaire* 5136 Système Auditer l’extension du système de sécurité* 7045 Accès DS Auditer l’accès au service d’annuaire 4662 : pour cet événement, vous devez également configurer l’audit d’objet de domaine. Remarque
* Les sous-catégories indiquées ne prennent pas en charge les événements d’échec. Toutefois, nous vous recommandons de les ajouter à des fins d’audit si elles doivent être implémentées à l’avenir. Pour en savoir plus, consultez Auditer la gestion des comptes d’ordinateur, Auditer la gestion des groupes de sécurité et Auditer l’extension du système de sécurité.
Par exemple, pour configurer Audit de la gestion des groupes de sécurité, sous Gestion des comptes, double-cliquez sur Audit de la gestion des groupes de sécurité, puis sélectionnez Configurer les événements d’audit suivants pour les événements de Réussite et Échec.
À partir d’une invite de commandes avec élévation de privilèges, saisissez
gpupdate
.Après avoir appliqué la politique via GPO, vérifiez que les nouveaux événements apparaissent dans le Visionneur d’événements, sous Journaux Windows>Sécurité.
Pour tester vos stratégies d’audit à partir de la ligne de commande, exécutez la commande suivante :
auditpol.exe /get /category:*
Pour plus d’informations, consultez la documentation de référence auditpol.
Configurer les paramètres de la stratégie d’audit avancée en utilisant PowerShell
Les actions suivantes décrivent comment modifier les paramètres de la stratégie d’audit avancée de votre contrôleur de domaine selon les besoins pour Defender pour Identity à l’aide de PowerShell.
Problème d’intégrité associé : l’audit avancé des services d’annuaire n’est pas activé comme il se doit
Pour configurer vos paramètres, exécutez :
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Dans la commande précédente :
Mode
spécifie si vous souhaitez utiliser le modeDomain
ouLocalMachine
. En modeDomain
, les paramètres sont collectés à partir des objets de stratégie de groupe. En modeLocalMachine
, les paramètres sont collectés à partir de la machine locale.Configuration
spécifie quelle configuration définir. UtilisezAll
pour définir toutes les configurations.CreateGpoDisabled
spécifie si les GPO sont créés et laissés désactivés.SkipGpoLink
spécifie que les liens GPO ne sont pas créés.Force
spécifie que la configuration est définie ou que les GPO sont créés sans valider l’état actuel.
Pour voir vos stratégies d’audit, utilisez la commande Get-MDIConfiguration
pour afficher les valeurs actuelles :
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Dans la commande précédente :
Mode
spécifie si vous souhaitez utiliser le modeDomain
ouLocalMachine
. En modeDomain
, les paramètres sont collectés à partir des objets de stratégie de groupe. En modeLocalMachine
, les paramètres sont collectés à partir de la machine locale.Configuration
spécifie quelle configuration obtenir. UtilisezAll
pour obtenir toutes les configurations.
Pour tester vos stratégies d’audit, utilisez la commande Test-MDIConfiguration
pour obtenir une réponse true
ou false
indiquant si les valeurs sont correctement configurées :
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Dans la commande précédente :
Mode
spécifie si vous souhaitez utiliser le modeDomain
ouLocalMachine
. En modeDomain
, les paramètres sont collectés à partir des objets de stratégie de groupe. En modeLocalMachine
, les paramètres sont collectés à partir de la machine locale.Configuration
spécifie quelle configuration tester. UtilisezAll
pour tester toutes les configurations.
Pour plus d’informations, consultez les références PowerShell suivantes de DefenderForIdentity :
Configurer l’audit NTLM
Cette section décrit les étapes de configuration supplémentaires nécessaires pour l’audit de l’événement Windows 8004.
Remarque
- Les stratégies de groupe de domaine pour collecter l’événement Windows 8004 doivent être appliquées uniquement aux contrôleurs de domaine.
- Lorsqu’un capteur Defender pour Identity analyse l’événement Windows 8004, les activités d’authentification NTLM de Defender pour Identity sont enrichies avec les données des serveurs consultés.
Problème de santé lié : L’audit NTLM n’est pas activé.
Configurer l’audit NTLM :
Après avoir configuré vos paramètres initiaux de stratégie d’audit avancée (via l’interface utilisateur ou PowerShell), ouvrez Gestion des stratégies de groupe. Puis allez dans Stratégie par défaut des contrôleurs de domaine>Politiques locales>Options de sécurité.
Configurez les politiques de sécurité spécifiées comme suit :
Paramètre de stratégie de sécurité Valeur Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants Auditer tout Sécurité réseau : restreindre NTLM : auditer l’authentification NTLM dans ce domaine Activer tout Sécurité réseau : restreindre NTLM : auditer le trafic NTLM entrant Activer l’audit pour tous les comptes
Par exemple, pour configurer Trafic NTLM sortant vers des serveurs distants, sous Options de sécurité, double-cliquez sur Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants, puis sélectionnez Auditer tout.
Configurer l’audit des objets de domaine
Pour collecter des événements pour les modifications d’objet, comme pour l’événement 4662, vous devez également configurer l’audit d’objet sur l’utilisateur, le groupe, l’ordinateur et d’autres objets. La procédure suivante décrit comment activer l’audit dans le domaine Active Directory.
Important
Examinez et auditez vos stratégies (via l’interface utilisateur ou PowerShell) avant d’activer la collecte des événements, afin de vous assurer que les contrôleurs de domaine sont correctement configurés pour enregistrer les événements nécessaires. Si cet audit est correctement configuré, il devrait avoir un impact minimal sur les performances du serveur.
Problème d’intégrité associé : l’audit d’objet des services d’annuaire n’est pas activé comme il se doit
Configurer l’audit d’objet de domaine :
Consultez la console Utilisateurs et ordinateurs Active Directory.
Sélectionnez le domaine que vous souhaitez auditer.
Sélectionnez le menu Affichage, puis sélectionnez Fonctionnalités avancées.
Faites un clic droit sur le domaine et sélectionnez Propriétés.
Allez dans l’onglet Sécurité, puis sélectionnez Avancé.
Dans Paramètres de sécurité avancés, sélectionnez l’onglet Audit, puis sélectionnez Ajouter.
Choisissez Sélectionner un principal.
Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Puis sélectionnez Vérifier les noms>OK.
Revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :
Pour Type, sélectionnez Succès.
Pour S’applique à, sélectionnez Objets utilisateurs descendants.
Sous Autorisations, faites défiler vers le bas et sélectionnez le bouton Effacer tout.
Faites défiler vers le haut et sélectionnez Contrôle total. Toutes les autorisations sont sélectionnées.
Effacez la sélection pour les autorisations Afficher le contenu, Lire toutes les propriétés, et Lire les autorisations, puis sélectionnez OK. Cette étape définit tous les paramètres Propriétés sur Écriture.
Désormais, toutes les modifications pertinentes apportées aux services d’annuaire apparaissent comme événements 4662 lorsqu’elles sont déclenchées.
Répétez les étapes de cette procédure, mais pour s’appliquer à, sélectionnez les types d’objets suivants :
- Objets groupe descendants
- Objets ordinateur descendants
- Objets msDS-GroupManagedServiceAccount descendants
- Objets msDS-ManagedServiceAccount descendants
Remarque
Attribuer les autorisations d’audit sur Tous les objets descendants fonctionnerait également, mais seuls les types d’objets détaillés dans la dernière étape sont nécessaires.
Configurer l’audit sur AD FS
Problème de santé lié : L’audit sur le conteneur AD FS n’est pas activé comme requis.
Pour configurer l’audit sur les services de fédération Active Directory (AD FS) :
Accédez à la console Utilisateurs et ordinateurs Active Directory, et sélectionnez le domaine où vous souhaitez activer les journaux.
Accédez à Program Data>Microsoft>ADFS.
Faites un clic droit sur ADFS, puis sélectionnez Propriétés.
Allez dans l’onglet Sécurité et sélectionnez Avancé>Paramètres de sécurité avancés. Accédez ensuite à l’onglet Audit et sélectionnez Ajouter>un principal.
Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Puis sélectionnez Vérifier les noms>OK.
Revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :
- Pour Type, sélectionnez Tout.
- Pour S’applique à, sélectionnez Cet objet et tous les objets descendants.
- Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Lire toutes les propriétés et Écrire toutes les propriétés.
Cliquez sur OK.
Configurer la journalisation détaillée pour les événements AD FS
Les capteurs s’exécutant sur des serveurs AD FS doivent avoir le niveau d’audit défini sur Verbose pour les événements pertinents. Par exemple, utilisez la commande suivante pour configurer le niveau d’audit sur Verbose :
Set-AdfsProperties -AuditLevel Verbose
Configurer l’audit sur AD CS
Si vous travaillez avec un serveur dédié ayant les services de certificats Active Directory (AD CS) configurés, configurez l’audit comme suit pour afficher les alertes dédiées et les rapports Secure Score :
Créez une stratégie de groupe à appliquer à votre serveur AD CS. Modifiez-le et configurez les paramètres d’audit suivants :
Allez dans Configuration de l’ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration des stratégies d’audit avancées\Stratégies d’audit\Accès aux objets\Audit des services de certification.
Sélectionnez les cases pour configurer les événements d’audit pour Succès et Échec.
Configurer l’audit sur l’autorité de certification (CA) en utilisant l’une des méthodes suivantes :
Pour configurer l’audit de la CA via la ligne de commande, exécutez :
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Pour configurer l’audit de la CA via l’interface graphique :
Sélectionnez Démarrer>Autorité de certification (application de bureau MMC). Faites un clic droit sur le nom de l’autorité de certification et sélectionnez Propriétés.
Sélectionnez l’onglet Audit, sélectionnez tous les événements que vous souhaitez auditer, puis sélectionnez Appliquer.
Remarque
La configuration de l’audit des événements Démarrer et arrêter les services de certificats Active Directory pourrait provoquer des délais de redémarrage lorsque vous traitez avec une grande base de données AD CS. Envisagez de supprimer les entrées non pertinentes de la base de données. Sinon, évitez d’activer ce type d’événement spécifique.
Configurer l’audit sur Microsoft Entra Connect
Pour configurer l’audit sur les serveurs Microsoft Entra Connect :
Créez une stratégie de groupe à appliquer à vos serveurs Microsoft Entra Connect. Modifiez-le et configurez les paramètres d’audit suivants :
Allez dans Configuration de l’ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration des stratégies d’audit avancées\Stratégies d’audit\Ouverture/Fermeture de session\Audit de connexion.
Sélectionnez les cases pour configurer les événements d’audit pour Succès et Échec.
Configurer l’audit sur le conteneur de configuration
Remarque
L’audit du conteneur de configuration est réécrit uniquement pour les environnements qui ont ou ont déjà utilisé Microsoft Exchange, car ces environnements ont un conteneur Exchange situé dans la section Configuration du domaine.
Problème d’intégrité associé : l’audit sur le conteneur de configuration n’est pas activé comme il se doit
Ouvrez l’outil ADSI Edit. Sélectionnez Démarrer>Exécuter, entrez
ADSIEdit.msc
, puis sélectionnez OK.Dans le menu Action, sélectionnez Se connecter à.
Dans la boîte de dialogue Paramètres de connexion, sous Sélectionner un contexte de nommage bien connu, sélectionnez Configuration>OK.
Développez le conteneur Configuration pour afficher le nœud Configuration, qui commence par « CN=Configuration,DC=... ».
Faites un clic droit sur le nœud Configuration, puis sélectionnez Propriétés.
Sélectionnez l’onglet Sécurité, puis sélectionnez Avancé.
Dans Paramètres de sécurité avancés, sélectionnez l’onglet Audit, puis sélectionnez Ajouter.
Choisissez Sélectionner un principal.
Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Puis sélectionnez Vérifier les noms>OK.
Revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :
- Pour Type, sélectionnez Tout.
- Pour S’applique à, sélectionnez Cet objet et tous les objets descendants.
- Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Écrire toutes les propriétés.
Cliquez sur OK.
Mettre à jour les configurations héritées
Defender pour Identity n’a plus besoin de journaliser les événements 1644. Si ce paramètre de registre est activé, vous pouvez le supprimer.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Contenu connexe
Pour plus d’informations, consultez l’article suivant :
- Collection des événements avec Microsoft Defender pour Identity
- Audit de sécurité Windows
- Stratégies d’audit de sécurité avancée